ユーザーアクセスの場合、ユーザーはアプリケーションと直接操作します。
しかしながら、基本的なユーザー管理はSystemwalker Service Catalog Managerにて行われます。これはサービス利用部門がサービスの購入を行った時に、プロビジョニングサービスとしてユーザーの対応を通知することを意味します。従って利用者単価の料金設定とその課金サービスを利用できます。
アプリケーションにより完全なアプリケーションログインの制御を行えます。もしくはシングルサインオンのメカニズムを提供するのにSAMLを使用することができます。もしSAMLを使用する場合には、アプリケーション自体で必要な認可を実行しなければなりません。
シングルサインオン無しのアクセス
ユーザーはSystemwalker Service Catalog Managerに関わらずに、アプリケーションと直接操作することが可能です。
次の図は、クライアントとアプリケーションとSystemwalker Service Catalog Managerの処理の様子を示しています。
クライアントはユーザーのログイン要求を直接アプリケーションに送ります。アプリケーションはユーザーを認証し、セッションを作成し、クライアントにセッションを返します。それ以降の動作も、クライアントとアプリケーションの間で直接交わされます。
アプリケーションはユーザーがSystemwalker Service Catalog Managerにてサービスの購入をされた際に割り当てたアプリケーションのインスタンスを使用するように識別する必要があります。Webアプリケーションとしては、例えばそれぞれの購入済サービスに割り当てたURLを別々のものを提供することにより識別することが出来るようになります。新規購入済サービスにインスタンスを割り当てる際に、アプリケーションからSystemwalker Service Catalog Managerに返却する情報として、関連アプリケーションURLを返却することができます。
SAMLを使用したシングルサインオンのアクセス
SAML(Security Assertion Markup Language)はセキュリティドメイン間で認証・認可データ交換を行うXMLベースのオープンスタンダード規約です。これはIdentity Provider(アサーションのプロデューサー)とService Provider(アサーションの消費者)の間の処理にて使用されます。SAMLアサーションはService Providerがアクセスコントロールを決定する情報を含んでいます。
Systemwalker Service Catalog Managerでは、Identity ProviderはSystemwalker Service Catalog Manager自身で、Service Providerはアクセスされるアプリケーションになります。認可情報は交換されません。
SAMLに関する詳細は関連するWebサイトを参照してください。Systemwalker Service Catalog ManagerではSAML 1.1規約をサポートします。
次の図は、クライアントとSystemwalker Service Catalog Manager(Identity Provider)とアプリケーション(Service Provider)の処理の様子を示しています。
上記の図は以下のステップで処理されます。
ユーザーはSystemwalker Service Catalog Manager(Identity Provider)と統合されているアプリケーション(Service Provider)にアクセスする。
アプリケーションはSystemwalker Service Catalog Managerの転送サービス用内部サイト(SSOサービス)に認証要求を転送する。
https://idp.example.org/TransferService?TARGET=<target>
<target>にService Providerの要求リソースを指定する。
ブラウザのPOSTプロファイルがtargetパラメーターを持った転送サービスのURLがService Providerにどう受け取られるのか指定しないことを意識してください。URLを転送サービスとして受け取ることができるようにService Providerを構成してください。
転送サービス用内部サイトは、ユーザーが既にログインされているかどうかを判断し、もし既にログインされていた場合には、Systemwalker Service Catalog Managerはユーザーが正当なログイン証明を行うようにクライアントと対話します。
ユーザーは正当なログイン証明を提供し、ローカルなログインセキュリティ・コンテキストはSystemwalker Service Catalog Managerの中に作成されます。
転送サービス用内部サイトは、ステップ2のtargetパラメーターで提供されたFORM要素を含むHTMLドキュメントを返却します。SAMLレスポンスパラメーターは、SAMLレスポンスエレメントをbase64コード化したものです。これはIdentity Providerによってデジタル署名されます。この署名は署名が有効であると証明するのに使用するべき公共の証明書を含んでいます。
Service Providerは既にIdentity Providerとセキュリティコンテキストを確立していると想定されます。さもなければ転送サービス用内部サイトはSAMLレスポンス要素の認証情報を提供することができません。
Identity ProviderはService Providerのアサーション提供サービスを要求します。この際に使用するtargetの値とSAMLレスポンスパラメーターはステップ5にて作成したHTMLドキュメントになります。
アサーション提供サービスはSAMLレスポンス要素を消費して、Service Providerにてセキュリティコンテキストを作成します。Service Providerはユーザーを特定するSAML Subjectを有効にするように注意しながら、認可を実行しなければなりません。もし有効化が成功し、ユーザーがアプリケーションにアクセスすることができるようになった場合には、Service Providerはクライアントをターゲットリソースに振り向けます。
これ以降の動作は、クライアントとアプリケーションの間で直接交わされます。
注意
アプリケーションはbase URLに対してのデフォルトのコンテンツを準備してください。これは既にSystemwalker Service Catalog Manager にログインされている場合に、アプリケーションのリモートインターフェースに直接アクセスされるためです。base URLは技術サービス定義で指定します。詳細は“付録B 技術サービス定義のXMLファイル要素”を参照してください。
Systemwalker Service Catalog ManagerがIdentity Providerとして動作するために、以下の点に注意してください。
アプリケーションはSAML 1.1をサポートする必要があります。例えばSAMLリクエストの認証IDはSAML 1.1標準に従う必要があります(下記例を参照)。
Systemwalker Service Catalog Managerの転送サービス用内部サイトに転送する認証要求は以下のパラメーターを含む必要があります。
ACS: Service Providerのアサーション提供サービスのURL
TARGET: 要求リソースのターゲットURL
authID: SAMLリクエストのための認証ID
例
https://myserver.example.com/fujitsu-bss-portal/saml/identityProvider.jsf?
ACS=http%3A%2F%2Fmyapp.info%2Fcom.myplace.sso.POSTProfileGateway.wcp&
TARGET=http://user.myapp.example.com/olc/&
authID=63f1848a-699a-11e0-f029-2871ec2d5Service Providerのアサーション提供サービスは、Systemwalker Service Catalog Managerの転送サービス用内部サイトによって返却されるデジタル署名を有効であると証明できなければなりません。